不和人说话

妙手回春，医治Windows杀毒后遗症
　　系统中毒后，运行杀毒软件进行杀毒这样的操作当然无可非议。但是，杀毒软件往往是根据其定义的特征码进行病毒的查杀，在完成这一切后就以为万事大吉而功成身退了。事情往往没有这么顺利，杀软把一个千疮百孔的系统留给了用户，杀毒后遗症成了我们心中永远的痛。下面我们一道就几例典型的杀毒后遗症实施医治，还原一个健康的系统。

　　一、启动相关

　　现象1：在杀毒完成重启系统进入桌面每次都弹出“加载xx文件时出错，找不到指定文件”的提示框。(图1)

　　

01.jpg (14.84 KB)

2008-7-4 22:27

　　                                                                    图1 加载错误提示框

　　出现这种症状是因为杀毒软件清除了病毒源文件，但是没有清除其相应的注册表键值，因此在系统启动时就进行加载，因为源文件被删除因此会弹出这样的对话框，其医治方法是：

　　第一方案：启动msconfig，根据启动项位置提示找到对应的项目取消勾选即可。

　　第二方案：按照提示框提示的文件名称，进入注册表搜索到其加载键值删除即可。

　　这些关键的注册表键值是：

　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

　　以上的键值会出现在msconfig的“启动”项中。

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

　　以上的键值比较隐蔽

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

　　"Shell"="EXPLORER.EXE,*.exe"

　　*为某病毒或者木马的可执行文件，这种方法非常隐蔽，被当前的许多病毒采用
　　
　现象2：杀毒完成后无法打开常见的程序， 双击应用程序会弹出选择打开方式窗口。

　　这是由于病毒修改了可执行文件的关联，往往是与自己相关联，当病毒被杀软清除后但是文件关联没有恢复因此无法运行，让用户选择打开方式，其医治方法是：

　　第一步：重启按F8进入带命令行的安全模式。

　　第二步：进入命令提示符后执行 ftype exefile="%1" %*命令恢复即可，也可以用sreng等工具修复关联。(图2)


　　

02.jpg (48.64 KB)

2008-7-4 22:27

　　                                                                   图2 具修复文件关联

　　现象3：双击任何一个盘符都不能打开，只有通过右键点击选择“资源管理器”才能打开，同时右键菜单原来第一项变成“auto” (图3)


　　

03.jpg (62.67 KB)

2008-7-4 22:27

　　                                                                   图3 文件夹的打开

不和人说话

这是由于病毒为了达到运行目的，在系统盘下建立了类似autorun.inf这样的文件，然后通过该文件调用病毒源文件。在杀软清除病毒后，但是autorun.inf文件并没有清除，就会在用户出现上述现象。其医治方法是：

　　第一步：建立一个批处理文件kill.bat，代码如下：

　　@echo off

　　cd \

　　attrib -s -h -a autorun.inf

　　del autorun.inf

　　d:

　　attrib -s -h -a autorun.inf

　　del autorun.inf

　　taskkill /f /im explorer.exe

　　start explorer.exe

　　exit

　　提示：杀毒软件把系统根目录下的病毒文件清除了，但没有删除autorun.inf文件。(假设只有C、D两个分区。)如果还没有完全解决问题，进行第二步操作。

　　第二步：定位注册表到
　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Mountpoints2\，把c、d项下面的有关auto的项全部删除。

　　第三步：在注册表HKEY_CLASSES_ROOT\device项下删除shell子项，这样就能正常打开所有硬盘分区。

　　现象4：杀毒后无法进入桌面，或者提示桌面加载错误，有时候甚至无法进入系统 。

　　产生这种症状的原因是，在注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]下有2个键值 Userinit原值是"Userinit"="userinit.exe," Shell的原值是"Shell"="EXPLORER.EXE"，如果这两个值被病毒修改，而杀毒软件没有修复的话，就会不能进入系统的桌面。其医治方法是：

　　第一步：在系统无法进入桌面时通过组合键“Ctrl+Alt+Del”调出“任务管理器”，然后运行“explorer.exe”，进入桌面。

　　第二步：按照上面的说明恢复注册表键值。(图4)


　

04.jpg (58.73 KB)

2008-7-4 22:28

　


　　                                                                图4 恢复注册表键值



　现象5：在杀毒后很多安全程序无法使用。

　　造成这种症状的原因是，杀毒软件杀毒不够彻底，系统中还有一些病毒遗留文件，由于这些文件造成了某些安全软件无法运行。其医治办法是：

　　第一步：创建一个批处理文件del.bat，代码为:

　　@echo off

　　del /f /a /q [url=file://\\?\%1]\\?\%1[/url]

　　rd /s /q [url=file://\\?\%1]\\?\%1[/url]

　　exit


　　提示：以上的命令是强制删除所有文件和目录。把del.bat文件复制到有病毒的文件目录，然后将类似w32sys.dll的文件或者类似arp这样的文件夹拖到del.bat文件上即可，如果还不行就执行第二步。(图5)


　　

05.jpg (46.49 KB)

2008-7-4 22:28

　　                                                          图5 删除无效文件和目录

　　第二步：在命令提示符下执行如下命令：

　　for /f "tokens=*" %%i in ('dir /a /b /s c:\progra~1\w32sys.dll') do rd /s /q %%i

　　提示：假设w32sys.dll是病毒文件，上面的命令的意思是删除c:\progra~1\目录下所有子目录中的w32sys.dll文件。


　　二、系统相关

　　现象1：系统无法显示隐藏文件

　　系统无法显示显示隐藏文件，原因是病毒为了保护自身，设置自己为隐藏文件然后修改或者删除相应的注册表键值，而杀毒软件在清除病毒后并没有恢复该注册表键值，使得无法通过“文件夹选项”设置并查看系统中的隐藏文件。其医治方法是：

　　第一方案：用winrar(压缩软件)查看并操作，winrar由于其特殊技术可以不受系统对文件属性的限制而查看隐藏文件，甚至有些在“显示所有隐藏文件”状态下都无法查看的文件。

　　第二方案：恢复注册表相关键值，把如下代码保存为file.reg，双击导入注册表

　　Windows Registry Editor Version 5.00

　　(提示：中间必须空一行，这一行可不能复制呀!)
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]

　　"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"

　　"Text"="@shell32.dll,-30500"

　　"Type"="radio"

　　"CheckedValue"=dword:00000000

　　第三方案：工具修复，可以用sreng。

　　现象2：安全模式无法进入

　　病毒木马为了保护自身，删除或者修改了与安全模式相关的注册表键值，使得用户无法进入安全模式进行病毒的查杀。杀软在清除病毒后往往不会恢复安全模式注册表键值，其医治方法是：

　　第一方案：从其它电脑上导出如下注册表项，然后导入到安全模式故障的系统中。

　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot]

　　第二方案：用金山AV专杀或者sreng修复。

　现象3：系统文件丢失导致系统组件故障

　　病毒往往会感染或者替换相应的系统文件，杀软在查杀病毒的过程中往往会把这些被感染的系统文件也一并清除，因此造成杀毒后提示系统文件、组件的丢失故障。其医治办法是：

　　第一方案：运行sfc /scannow，修复系统中丢失或者被破坏的文件。(秘笈：sfc扫描需要替换文件是需要插入光盘，可以通过修改注册表，让系统的自动修复通过硬盘上的windows xp安装文件来进行。先将安装光盘上的“i386”文件夹复制到e:\，接着进入注册表展开[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup]主键。然后将右侧窗格的“CDInstall”键值数据修改为0，再分别将“ServicePackSourcePath”和“SourcePath”两个键值都修改为“e:\i386"，以后就不会提示插入安装光盘了。)(图6)


　　

06.jpg (55.51 KB)

2008-7-4 22:28

　　                                                       图6 注册表指定安装文件目录

　　第二方案：进入系统故障恢复控制台修复，通过系统自带的IEXPRESS把光盘中的相关文件解压到系统目录替换损坏的系统文件。

　　总结：杀毒后遗症，可谓千奇百怪，其实只要认真分析，就可以找到修复的办法。希望笔者列举的这些案例及其医治措施对大家有所启发，从而成为妙手回春的系统医生。

nibbler

这软件的名字是System Repair Engineer 吧